Google発のAndroid Market Security Toolについて

先日、Googleは、DroidDreamに感染したデバイスを駆除するAndroid Market Security Toolをリリースしました。このAndroid/DrdDreamファミリーのマルウェアは、2つのエクスプロイト(Expoit/LVeduExploit/DiutesEx)により、脆弱なAndroidデバイスのルートアクセスを取得します。既に50以上のAndroidアプリケーションの感染が報告されており、すべてAndroid Marketからダウンロードされていました。アプリケーションはいずれも、マルウェアの作者により悪性コードが組み込まれて再パッケージ化された、正規のプログラムでした。

Android/DrdDreamは情報(IMEI、IMSI、OSのバージョンなど)を攻撃者に送信し、さらにペイロードをダウンロードしようとします。マルウェアは2つのルートエクスプロイトを利用しますが、実際にはルートアクセスがなくても、データを攻撃者に送信できます。

Android Market Security Toolとは
Googleは、Android Marketのヘルプサイトでツールについて既に公式声明を発表しており、Android/DrdDreamを駆除するために講じた対策を挙げています(「March 2011 Security Issue(2011年3月セキュリティ問題)」

  • 開発者のアカウント(3人のユーザー)を凍結し、悪質なアプリケーションをAndroid Marketから削除
  • 悪質なアプリケーションを感染デバイスから遠隔操作でアンインストール
  • 感染デバイスにAndroid Market Security Toolをプッシュ

これまでも悪質なAndroidアプリケーションを処理するために、アカウントの無効化、アプリケーションのAndroid Marketからの削除、遠隔操作によるアプリケーションの強制終了が行われてきました。セキュリティアプリケーションの携帯電話への送信は、これまでにない手段です。このGoogleのセキュリティツールはAndroid Marketで提供されているため、入手し、モバイルマルウェア駆除ツールの中身について分析を行ってみました。

Android Market Security Toolは、droiddreamcleanという名前の非Dalvikネイティブのアプリケーションコンポーネントが組み込まれたAndroidアプリケーションです。Android/DrdDreamは、感染した携帯電話に追加ファイル(ネイティブバイナリ、追加APKなど)を作成します。ファイルはアプリケーションディレクトリ外に置かれるため、アプリケーションをアンインストールしただけでは、携帯電話から削除されません。駆除するには、標準的なAndroidアプリケーションがアクセスできないレベルでファイルシステムにアクセスする必要があります。このセキュリティアプリケーションは、droiddreamcleanを起動して、追加ファイルを削除し、セキュリティ設定を復元します。


[ クリックすると拡大します ]

DownloadProvidersManager.apkを削除します。これにより、マルウェアは追加のマルウェアやアップデートをデバイスにダウンロードできなくなります。

ルートアクセスを取得したAndroid/DrdDreamは、2番目のペイロードをアセットディレクトリからアプリケーションディレクトリにコピーしようとします。これは、Android Marketを完全に回避する手動インストールであり、Marketでインストールが記録されないため、遠隔操作で強制終了することができません。droiddreamcleanにはこの問題はなく、「pm」パッケージマネージャーの使用、APKの手動削除の2つのアンインストール方法を試します。

マルウェアは、名称変更された「su」実行ファイルを他のシステムコマンドのディレクトリにコピーしました。これにより、攻撃者や更新されたマルウェアは将来、ルートアクセスを取得できます。Android Market Security Toolは、Android/DrdDreamのダウンローダーコンポーネントと同じようにこの実行ファイルを処理します。


[ クリックすると拡大します ]

Android Market Security Toolで削除される58個のパッケージ

droiddreamcleanが終了すると、Android Market Security Toolは、携帯電話からマルウェアが駆除されたことをGoogleに通知し、自身をアンインストールします。その後、マルウェアが駆除され、問題が解消されたことを知らせるメールがGoogleから送信されます。


[ クリックすると拡大します ]

Android Market Security Toolによる携帯電話のマルウェアの駆除が終了したことを知らせるGoogleからの通知

Android Market Security Toolは十分か?
Android Market Security Toolはかなり包括的なツールですが、Android/DrdDreamとその副作用を解消するためだけに作成されたツールです。ツール自体はオペレーティングシステムを修正、リフレッシュしないため、Android/DrdDreamが利用した脆弱性はそのまま残ります。オペレーティングシステムをアップデートするためには、影響を受けるAndroidデバイスのメーカーの支援も必要でしょう。

今後、同様の感染が発生するに従って、Googleはセキュリティソフトベンダーが歩んだのと同じ道をたどり、定期的なアップデートを提供する必要があるかもしれません。今回のセキュリティツールの作成、およびAndroid/DrdDreamの問題を処理するために注いだ労力を見れば、Googleがモバイルセキュリティソフトウェアの必要性を理解していることがわかります。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速